Tool zum Austricksen von Truecrypt veröffentlicht

Helpmann · 17.10.2009

Quelle: http://www.heise.de/security/meldung/Tool-zum-Austricksen-von-Truecrypt-veroeffentlicht-832074.html

Notebook booten vom verschlüsselten USB-Sick mit´nem OS + USB-HDD....z.Bs :fre:

HUCKJ · 17.10.2009

Okay, einzige Gegenmaßnahme wäre dann wohl das Gehäuse zu versiegeln und die Platte als einziges Bootlaufwerk zuzulassen.
Nicht genug, dass es PS/2 und USB Keylogger gibt (beim Rechner merken das sicher die wenigsten, wenn der hinten mal ne zeitlang dran steckt).
Bald muss man seinen PC in einem Stahlschrank einschließen, damit keiner dran rumpfuscht.

BioaSharky · 17.10.2009

Helpmann schrieb:
Quelle: http://www.heise.de/security/meldung/Tool-zum-Austricksen-von-Truecrypt-veroeffentlicht-832074.html

Notebook booten vom verschlüsselten USB-Sick mit´nem OS + USB-HDD....z.Bs :fre:

Übrigens, hübsches Ding - die Joanna Rutkowska.

leased:

haiko · 17.10.2009

HUCKJ schrieb:
Okay, einzige Gegenmaßnahme wäre dann wohl das Gehäuse zu versiegeln und die Platte als einziges Bootlaufwerk zuzulassen.

das könnte dann wohl so aussehn:

ne anleitung dazu findest du dann hier: http://www.g-news.ch/articles/nhp200nc/

Lemmy · 18.10.2009

Bringt der Person aber auch nix, wenn man bei Truecrypt noch 1 ne Datei auswählt die zum entschlüsseln gebraucht wird.

Egal88 · 18.10.2009

Dieser Trick sollte aber nicht funktionieren, wenn im BIOS der Schreibschutz für den MBR eingeschaltet ist. Und auch nicht, wenn das Booten vom USB-Stick abgeschaltet ist.

the ubm · 18.10.2009

Es reicht auch die "RescueDisk" zu brennen und immer von dieser zu booten. Damit wird einer Manipulation des Bootloaders vorgebeugt.

Felisimo · 18.10.2009

kann man das auch mal für nicht-nerds auf den punkt bringen?

cmddegi · 22.10.2009

Sicherlich

: Solang jemand physikalischen Zugang zu deinem PC (in dem Fall z.B. durch Anstecken eines USB-Sticks) erlangen kann, ist er prinzipiell nicht sicher.

Felisimo · 28.10.2009

danke, sollte man jetzt auf ein anderes tool dieser art umsteigen, und kann man dann die laufwerke behalten?

sebhoff · 28.10.2009

Ich weiß nicht was das mit Truecrypt austricksen zu tun haben soll?
faktisch ist der Angriff die älteste Methode und setzt am schwächstem Glied an -> Dem Benutzer

Social Engeenering auf Modern eben. Kein System ist sicher wenn man Protokollieren kann wie das Passwort lautet. Aber da wird nicht das System geknackt, sondern es ist so als wenn man sich beim EC Automaten über die Schulter schauen lässt - Jedes Passwort ist nur so gut wie Geheim es ist.

BioaSharky · 28.10.2009

sebhoff schrieb:
Ich weiß nicht was das mit Truecrypt austricksen zu tun haben soll?
faktisch ist der Angriff die älteste Methode und setzt am schwächstem Glied an -> Dem Benutzer...

Steht ja aber auch so im Artikel.

Rutkowska deckt damit keineswegs eine neue Schwachstelle der Open Source Software Truecrypt auf. Das Angriffsszenario ist bekannt und dokumentiert. Es lässt sich analog auch gegen andere Festplatten-Verschlüsselungen wie das kommerzielle PGP Whole Disk Encryption einsetzen. Die umtriebige Sicherheitsexpertin legt lediglich einen Finger in die Wunde, dass man die Sicherheit solcher Systeme eigentlich nur dann gewährleisten kann, wenn eine gegen Manipulation geschützte Instanz bereits beim Booten die Integrität aller Komponenten testet, wie es die Trusted Platform Module tun soll.

the ubm · 03.11.2009

Das Passwort steht bei diesem Evil-Maid Programm übrigens in Sektor 61 im Klartext. So kann man ziemlich leicht eine Infektion erkennen.
Mit dem Hexeditor "HxD" ist es möglich seine Festplatte zu betrachten. Hier einfach Sektor 0 - 63 in eine Datei ziehen und dann regelmäßig vergleichen. Am einfachsten geht das mit "fc /b datei1 datei2". Werden hier Unterschiede gefunden, weiß man, dass manipuliert wurde.

HUCKJ · 03.11.2009

Das Tool gibt es hier http://mh-nexus.de/en/downloads.php?product=HxD
auch als portable Version (ohne Installation z.B. für USB Stick)
Extra - Datenträger öffnen - C :

Helpmann · 31.03.2010

http://www.golem.de/1003/74189.html

"Unsere Kunden aus dem Gebiet der Strafverfolgung haben nach einer Möglichkeit zur Entschlüsselung von Truecrypt-Laufwerken verlangt - und wir haben eine praktische und effiziente Methode entwickelt, um schnell an verschlüsselte Daten heranzukommen", wirbt Passware-Chef Dmitry Sumin.

the ubm · 31.03.2010

Helpmann schrieb:
http://www.golem.de/1003/74189.html

"Unsere Kunden aus dem Gebiet der Strafverfolgung haben nach einer Möglichkeit zur Entschlüsselung von Truecrypt-Laufwerken verlangt - und wir haben eine praktische und effiziente Methode entwickelt, um schnell an verschlüsselte Daten heranzukommen", wirbt Passware-Chef Dmitry Sumin.

Der hier angeführte Angriff beruht auf Firewire. Es ist schon lange Zeit bekannt, dass über Firewire der ganze Arbeitsspeicher ausgelesen, ja sogar manipuliert werden kann, da Firewire einen DMA-Kanal besitzt. Auf diese Gefahr habe ich schon seit mind. 1 Jahr hingewiesen, siehe Ermittlungsbehörden erstellen bei PC-Beschlagnahmung Arbeitsspeicherabbild + Schutz

Wer also Firewire deaktiviert und seinen Rechner sperrt, lebt ein ganzes Stück sicherer.

Aus diesem kann dann im nächsten Schritt das Passwort für die Festplatte - oder auch von Webseiten oder beliebigen Dateien - ausgelesen werden.

Falsch. Es kann der Masterkey ausgelesen werden, nicht das Passwort (sofern man es nicht cacht, was Standarmäßig deaktiviert ist). Hat man also noch andere Festplatten, die mit dem selben Passwort geschützt, aber nicht gemountet sind, so sind diese sicher.

bjoernn · 18.05.2010

Hallo,

Ich habe keine Ahnung vom "Thema" aber ein riesiges Problem.

Frage: Kann ich mit diesem Tool einen TrueCrypt-Container entschlüsseln?

Ich habe alle Fotos von meinem Sohn auf einer externen Festplatte gespeichert. Im besagten Container.

Ich bin mir sicher, dass Passwort zu kennen bzw. es nicht geändert zu haben. Dennoch verweigert mir Truecrypt den Zugang.

Ist dieses Tool geeignet um Zugang zu bekommen? Falls ja, würde ich es kaufen.

Ich frage, weil ich die Methode des Tools nicht verstehe.

Gibt es noch eine andere Möglichkeit, die Fotos wieder zu bekommen ? Eine Datenrettungsfirma ?

Vielen Dank für Tips und Hinweise

the ubm · 18.05.2010

Erstmal herzlich Willkommen auf Powerforen.

Nein du hast mit diesen Tools keine Chance solange der Container nicht gemountet ist.

Hast du irgendein Backup von diesem Container oder ein Headerbackup?

Wenn die Fotos vorher auf der Platte mal unverschlüsselt waren, würde ich mir ein Datenrettungsprogramm wie etwa FileScavenger ansehen, ob der noch den Rest retten kann. Wichtig: Nichts mehr auf dieser Platte schreiben oder bearbeiten, das minimiert sonst die Chance etwas zu löschen.

bjoernn · 18.05.2010

Hallo und vielen Dank.

Ich habe weder ein Back-up, noch eine sonstige Sicherung :tr
Die Fotos wurden immer direkt in den Container gespeichert.

Ich habe bereits das Tool DiskRecovery von O&O benutzt, leider ohne Erfolg.

Wie sieht es mit einer professionellen Datenrettungsfirma aus? Ist es "technisch" überhaupt möglich, die Daten zurück zu bekommen?

the ubm · 18.05.2010

Technisch ist nur ein BruteForce Angriff möglich, aber dagegen ist TrueCrypt gut geschützt, da nur sehr wenige Passwörter pro Sekunde ausprobiert werden können.
Wenn dein Header beschädigt wurde, sieht es unmöglich aus.

Mit welcher TrueCrypt Version wurde der Container erstellt?
Wie lange ist dein Passwort?

Hast du schonmal versucht ob nur deine Tastatur falsch eingestellt ist, also statt einem z z.B. ein y schreibt?

Tool zum Austricksen von Truecrypt veröffentlicht

Helpmann

HUCKJ

BioaSharky

Anhänge

haiko

Lemmy

Egal88

the ubm

Felisimo

cmddegi

Felisimo

sebhoff

BioaSharky

the ubm

HUCKJ

Helpmann

the ubm

bjoernn

the ubm

bjoernn

the ubm

Tool zum Austricksen von Truecrypt veröffentlicht

ANGEBOTE & SPONSOREN

Neueste Beiträge

Statistik des Forums